.
“É brutal. As pessoas estão se perguntando se devem renunciar, mudar de casa ou obter portões fortificados. Você pode sentir a raiva.”
O comentário de um ex-oficial do Serviço de Polícia da Irlanda do Norte (PSNI) destaca as consequências na vida real de uma ocorrência muito frequente: uma violação de dados.
O órgão de vigilância de dados do Reino Unido recebeu relatórios de mais de 9.000 violações de dados pessoais no ano passado, mas a grande maioria não gerou debate público, talvez porque o impacto não seja imediatamente óbvio ou a população tenha se acostumado a um grau de perda de dados como um custo diário de vida digital moderna.
Dois incidentes nesta semana fizeram as pessoas pensarem novamente sobre o que está acontecendo com seus dados.
Na terça-feira, o PSNI, em uma resposta confusa a um pedido de liberdade de informação (FoI), divulgou uma planilha do Excel contendo detalhes de mais de 10.000 executivos e funcionários. Ele foi publicado em um site FoI chamado WhatDoTheyKnow por cerca de duas horas e meia antes que o PSNI percebesse o erro e o removesse.
No mesmo dia, a Comissão Eleitoral revelou que havia sido atingida por um ataque cibernético que resultou no acesso dos perpetradores aos nomes e endereços de qualquer pessoa no Reino Unido registrada para votar entre 2014 e 2022, o que equivale aos dados de 40 milhões de pessoas.
A ameaça à segurança implícita na violação do PSNI é clara, principalmente depois que o chefe de polícia disse na quinta-feira que republicanos dissidentes alegaram possuir algumas das informações. Em fevereiro, homens armados mascarados feriram gravemente um oficial sênior em Omagh, County Tyrone. Um membro do conselho da PSNI disse esta semana que novos ataques podem ocorrer após a violação.
As consequências da violação na Comissão Eleitoral, órgão independente que supervisiona as eleições no Reino Unido, são menos claras. Ele diz que não sabe se os dados, principalmente cópias de referência dos registros eleitorais, foram baixados. Ele também disse que seu sistema de e-mail foi violado, o que significa que quaisquer dados contidos em e-mails para a comissão – como endereços de e-mail, imagens de documentação e números de telefone – podem ter sido roubados.
A identidade dos ciberataques não é conhecida, mas a comissão o descreveu como um ataque “complexo”, e ex-chefes de espionagem do Reino Unido disseram que a Rússia, com seu histórico de tentativas de interferência eleitoral, é um forte suspeito.
Trabalhando com a suposição de que as cópias dos registros eleitorais foram tiradas, alguns especialistas dizem que os dados podem ser combinados com outros dados disponíveis para traçar o perfil dos usuários e potencialmente direcioná-los com, por exemplo, desinformação gerada por inteligência artificial na época das eleições.
Harjinder Lallie, acadêmico sênior em segurança cibernética da Universidade de Warwick, descreveu as informações expostas no hack da comissão como possíveis blocos de construção para uma campanha de manipulação, operada por um estado hostil, que poderia ser realizada por e-mail, correio, grupos de WhatsApp ou plataformas de mídia social.
“No que diz respeito aos atores estatais, os blocos de construção para permitir que eles construam [disinformation] campanhas são nomes e endereços. Isso ajuda a identificar as pessoas em termos de raça, possivelmente em termos de situação financeira e, se combinado com outros meios de coleta de dados, como perfis de mídia social, os atores estatais podem usar essas informações para construir campanhas neoeleitorais”, afirmou.
A comissão tranquilizou os eleitores sobre a integridade do sistema eleitoral em grande parte baseado em papel e disse que muitos dos dados expostos “já eram de domínio público”, por exemplo, pessoas, organizações e empresas já podem comprar o registro eleitoral aberto, que contém as mesmas informações.
Embora alguns especialistas tenham dito que os dados poderiam ser aliados ao poder da IA generativa – ferramentas que podem produzir texto, imagens e até voz plausíveis em massa – para fazer e enviar comunicações enganosas em grande escala, outros disseram que isso seria ambicioso, mesmo para uma comunidade hostil. estado.
John Hultquist, analista-chefe da empresa de segurança cibernética Mandiant, disse esta semana que a invasão de uma rede eleitoral “não equivale à manipulação do voto”. Ele acrescentou, no entanto, que os dados podem ser direcionados por diferentes motivos, como “montar essas informações em um banco de dados que pode ser usado para identificar, rastrear e até explorar pessoas de interesse”.
As informações pessoais estão disponíveis publicamente (em perfis de mídia social, por exemplo) ou na dark web, o termo para áreas da internet acessíveis apenas por meio de um navegador especializado. Uma verificação superficial em sites como https://haveibeenpwned.com/ pode mostrar se os e-mails das pessoas e outros dados foram expostos em violações.
Caroline Carruthers, que dirige uma consultoria de dados e é ex-diretora de dados da Network Rail, disse que dados sobre pessoas podem estar disponíveis em violações de alto perfil, como a da British Airways em 2018, ou de fontes legítimas, como corretores de dados. que compilam dados sobre indivíduos de várias fontes – incluindo o registro eleitoral aberto – e os vendem a terceiros.
Ela disse que os perfis de mídia social sozinhos podem oferecer um tesouro de informações. Carruthers contou que um ex-cidadão da Alemanha Oriental mostrou a ela um relatório da polícia secreta de um jantar ao qual ele compareceu, limitado a uma folha de papel, e ela comparou isso com um grupo de amizade no Facebook discutindo uma refeição à qual ela compareceu recentemente e que continha muito mais detalhes.
“Havia muito mais informações potencialmente úteis no Facebook do que no relatório da Stasi.”
Carruthers disse esperar que os incidentes do PSNI e da Comissão Eleitoral galvanizem as atitudes das pessoas em relação à proteção de seus dados contra uso comercial e criminoso.
“Eu realmente espero que isso seja um alerta. Tenho sérias preocupações sobre como não levamos nossos dados e para que eles estão sendo usados a sério.”
.
